Windows安全加固作者:AelphaeisMangarae翻译:securitydarkHome:日期:2010-6-20Windows安全加固页/共30页前言该文是根据《HardeningWindowsNT》翻译而成,其中也根据自己的一些体会及现实情况进行了一些调整。原文可以再参考文献中获得。目前,Windows系统已经占据了绝大部分的桌面市场,同时在服务器市场也占有较大比重。长期以来,由于病毒攻击、黑客入侵等原因,给人们留下了易受攻击的不好印象。但Windows是否能够变得安全一点成为人们争论的热点,本文将就加固Windows安全进行讨论。一、病毒防护产品在很久以前,病毒防护产品真的是很稀有的东西,那时候计算机病毒也真的很少。但现在不同,几乎每一刻都有新的病毒产生。制作病毒的目的破坏公司的数据安全到窃取私人用户的密码、卡号或者银行信息,各有不同。对于家庭用户,杀毒软件已经成为必不可少的装备,即使只是一台WEB服务器,没有杀软也是不可想象的,很多病毒或蠕虫都是靠135,139传播的。Windows安全加固页/共30页选择正确的杀软是非常必要的,但不同的杀软有不同的工作机制,一些杀软仅仅是比其他一些表现的好一点点。选择一个杀毒软件,可以从以下几个方面进行衡量:病毒识别率、更新周期、CPU占用率及效率,WEB恶意代码检测,用户友好及产品漏洞。病毒识别率主要是指杀软能够识别出现有病毒的百分比,该指标是杀软最重要的衡量指标。因此搞清杀软将什么作为病毒很重要。但脚本小子经常采用加壳的方式来逃避杀软的追杀。目前大部分杀软能够对现有的一些常见的壳进行识别,并进行病毒查杀。更新周期就是病毒特征库的更新周期,这一点同时体现了杀软厂商本身的技术能力。CPU占用率及效率,这个对普通用户来说非常敏感,就是杀毒要能合理占用资源,不要太耗系统资源;WEB恶意代码检测主要是针对网站访问、邮件收发时恶意脚本防护,一旦用户访问了恶意网站,能够对恶意代码进行报警及清除;用户友好当然就是指用户体验,杀软当然是在用户使用上不要太复杂,界面及操作用户。产品漏洞,这一点其实也很重要,用户肯定不想使用带有安全漏洞的安全产品,不想发生杀软居然被恶意代码搞掉的事情,这也就不用对金山对前段时间发出来的漏洞极力掩盖的事情感到意外了。一旦选择了合适的杀软,一定要至少做到如下设置:(1)对所有从Internet下载的文件进行杀毒Windows安全加固页/共30页(2)启用及时通信工具的杀毒选项,如MSN(3)对所有邮件进行病毒查杀,目前大部分软件客户端都具备这个功能(4)开机自启动(5)主动扫描(6)删除所有被感染的文件(7)及时自动更新(8)定时扫描二、密码安全密码安全应该是信息安全的重要组成部分,但更应该说是人的因素,从某种程度上来说,仅仅是指系统管理员要设置具有一定口令复杂度的密码及密码策略。为设置符合一定复杂度要求的口令,需做到以下几点:(1)口令长度最好大于12位,尽管许多人建议密码长度只要8位就可以,但鉴于分布式计算已经很普及,8位长度的口令很容易被破解;(2)不要使用英文字典里的单词(3)不同的系统不要使用同样的口令,这一点应该说是最严重的安全威胁,很多人在不同的系统上的口令都一致。笔者曾经截取过一Windows安全加固页/共30页个数据库,发现数据库里用户的邮箱密码和该系统的密码一致,当然也有的使用生日做口令的;(4)不要认为简单的加些前缀(如“123”)就可以使口令更加安全,其实它们并没有显着增加系统安全性.很多系统管理员增加“123”到口令中,使其变得强壮些,但由于如此之多的系统管理员都这样处理以至于这种行为成为可预测事件;(5)不要告诉别人你的密码或者提示信息(6)利用密码短语取得密码破解密码的常用手段(1)嗅探,这个在局域网环境比较常用,像一些常用的嗅探工具如:Cain&Abel、Wireshark,Sniffer等,(2)偷看,这个可能在熟人环境中比较多,或者现在的ATM机上,摄像头比较多的地方比较容易发生;(3)破解,如果电脑被入侵,黑客可能获得SAM文件,或者获得数据库中加密的用户口令,如果口令的加密算法为标准的MD5而且口令长度小于12位,这将是很容易被破解的,目前在Internet上可以找到很多这样的MD5破解网站,而且这样的工具也很多,当然也有彩虹表Windows安全加固页/共30页(4)获取缓存密码,一些软件会将用户密码缓存中电脑本地磁盘或者内存中,因此可以利用软件获取这些口令,当然这也意味着黑客需要从物理上接触电脑;(5)猜测,通常人们总会采用易于记忆的事情作为口令,这也就为口令猜测留下了空间,可以利用生日,兴趣、组织名称缩写等进行口令猜测;(6)告知,有些时候人们可能非常乐意告诉其他人自己的口令,但这也是很危险的事情。在公司的安全策略里需要告知公司员工,禁止员工告诉他人自己口令;(7)窃取数据库,SQL注入成为WEB应用软件最大的安全威胁之一,很多黑客就是利用数据库注入手段获取数据库中的用户名和密码。密码被破解的风险如果一个非授权的用户设法获得的员工密码,即使这个用户没有什么特殊权限,他们仍然会使用该用户对系统发起匿名攻击,因为Windows本身有很多漏洞可以利用来进行本地提权。但最大的威胁在于它可能获取你整个系统的控制权限,而且没有比这个更糟糕的。更换密码密码在系统中经常以hash的形式保存,重要数据在系统中应该以加密形式保存,至少理论上应该这样。Windows安全加固页/共30页但如果黑客设法获得了加密的hash,明文密码就更不安全了,如果黑客设法利用多台可以进行Hash破解的机器,获得明文密码仅仅是时间问题。因此密码需要经常更换,很多安全专家建议密码最好每3个月更换一次。但通常这种策略并不是能经常满足需求。利用多台机器和有效的密码破解软件,黑客在一个月时间内几乎可以破解任何密码,如果密码强度够强,这个的破解时间可能会稍微长一点。因此最好没有更换密码,如果可能的话,将更换密码的周期变的更短些。更换密码时最好遵从以下原则:(1)遵从上面设置密码的所有规则;(2)新密码和旧密码最好不要相似(3)不要仅是在旧密码的前面或后面简单的增加删除数字(4)不要试图根据日期生成密码(5)密码更改应该悄悄的进行,关于密码的信息应该限定在一定的范围内。三、用户帐户策略用户帐户安全应该是最基本的安全基础。当一个黑客入侵一个系统,不管是远程或者本地,他最想得到的就是得到管理员帐户。因此,为更好的保护系统管理员帐户可以以下安全加固措施:Windows安全加固页/共30页(1)重命名系统管理员帐号。让其为一个看起来不太重要或难以猜测的名称;(2)去除帐户描述,否则重命名就变的徒劳无益了;(3)创立一个假的系统管理员用户,这样可以浪费黑客客观的时间;(4)尽量避免使用系统管理员用户。如果你不需要系统管理员帐户,你可以禁用它。具体可以通过如下操作实现:开始——》运行——》gpedit.msc如果想禁用系统管理员用户,只需执行如下操作:计算机配置——》Windows设置——》安全设置——》本地策略——》安全选项——》帐户:管理员帐户状态Windows安全加固页/共30页如果不能禁用管理员帐户,可以禁止管理员用户远程登录:计算机配置——》Windows设置——》安全设置——》本地策略——》安全选项——》用户权利指派——》拒绝从网络访问这台计算机。Windows安全加固页/共30页用户帐户安全的重要性一旦恶意攻击者掌握了系统管理员帐号,他就可以在这条机器上做任何事情。受限用户对于黑客来说没有太大意义,一旦黑客闯入网络,他的唯一目标就是提权或者活动系统管理员帐号。四、间谍软件/广告软件目前几乎每一台电脑都曾经感染过间谍软件,而且很多家庭用户根本不知道他们的一举一动都被监视。绝大部分的使用者对间谍软件并不是很了解,也没有意识到电脑正在监视他们的行为由此产生了许多问题。Windows安全加固页/共30页许多“专家”认为间谍软件是一个很大的安全威胁,但间谍软件主要是为商业目的来监视电脑的。因此,间谍软件从某种程度上来说并不是安全威胁,尽管如此一些间谍软件偷取硬盘上一些被压缩的信息,如果电脑中了间谍软件,就有可能导致黑客获得这些信息,或解析这些信息当从受害者电脑传回间谍软件控制端的过程中。间谍软件是如此泛滥以致于深受其害,觉得这这里对间谍软件进行深入讨论:间谍软件的定义:间谍软件是指监视用户键盘操作并将在用户不知情的情况下将相关信息发送给企业或个人的软件。在前些时间的EarthLink的报告中指出,大概90%的与Internet相连的电脑都曾感染过间谍软件。广告软件Adware广告软件类似于间谍软件,并经常被归为间谍软件。广告软件主要是收集用户的年龄、性别、地点、购买习惯、上网习惯等信息,通常也会劫持用户的WEB浏览器如IE等。广告软件就是为收集用户信息以展示合适的广告以诱导用户购买指定的产品。通常那些从广告软件获利的公司会欺骗没有戒心的用户说他们的产品不是间谍软件,但他们的产品含有广告软件,本质上也是一种间谍软件,只是分类稍稍有所不同而已。间谍软件/广告软件传播途径Windows安全加固页/共30页间谍软件通过各种渠道感染用户终端。间谍软件带来了巨大的经济利益,间谍软件感染无知用户的最常用手段就是利用浏览器漏洞悄悄的下载软件到用户的电脑上。IE存在着很多漏洞可以被利用来下载软件到用户终端。像Gator这样的公司来说,利用ActiveX应用程序将软件下载都受害者的电脑上是非常常见的事情。因此微软从Sp2开始就默认禁止了ActiveX的执行以阻止恶意网站下载间谍软件到受害者电脑。尽管如此,间谍软件仍有很多方法可以将间谍软件下载到受害者电脑。另外一种常见的方式,就是将间谍软件和免费软件进行捆绑,这种方式在国内还是很常见的,原来的3721绝对可以称为典型。其实现在觉得360这类免费软件也还是比较不靠谱的。在安装这里免费软件的过程中,人们很少去读完整个声明,也导致了安装这种间谍软件成了合法的事情。因此在安装免费软件的过程中,一定要提高警惕,快速通读整个协议,避免遭受间谍软件的感染。其实这一点也说明未保证自己的安全,尽量不要使用一些破解软件,因为很难判断破解者是否在软件中增加了一些自己的东西。间谍软件的危险间谍软件最大的威胁在于窃取私人信息,例如用户名、密码、银行帐号等,而且这些信息是被悄无声息的被偷走,也无从知道对方准备做什么。就像前段时间网上有人出售银行卡信息。这无疑对私人的财产安全造成很大威胁。Windows安全加固页/共30页间谍软件通常会占用显著的带宽,如果用户Internet接入带宽很小,网速将受到间谍软件的影响。这一点在目前来说应该问题不是很大,首先一般用户的带宽都已经不是64k的时代,而且现在的间谍软件一般会采用好一点的压缩算法把信息压缩后再发送会服务器端。间谍软件第三个威胁可能就是对计算机产生破坏,尤其是广告软件一般会劫持浏览器,造成日常使用的不方便。制作间谍软件的公司非常明白用户会尝试删除或卸载这些软件,因此他们常常采用各种策略让这种删除变得非常困难,甚至不可能,其中包括禁用任务管理器或禁止修改注册表等。但最大的威胁来自你根本不知道间谍软件做了哪些手脚。间谍软件经常采用一些很隐蔽的手法,